La mayoría (53%) de las exploits de vulnerabilidad atribuida en el primer semestre de 2025 fueron realizadas por actores patrocinados por el estado con fines estratégicos y geopolíticos, según un nuevo informe del Grupo Insikt registrado de Future. Los investigadores dijeron que los hallazgos demuestran la creciente capacidad de los grupos bien patrocinados por el estado para armarse fallas rápidamente después de la divulgación. Los propósitos geopolíticos, como el espionaje y la vigilancia, son los motivos clave para estos actores de amenaza. «La importante participación patrocinada por el estado también implica que estas amenazas no son solo campañas aleatorias u oportunistas, sino a menudo específicas y persistentes que apuntan a sectores específicos o sistemas de alto valor», señalaron. La mayoría de las campañas patrocinadas por el estado fueron realizadas por actores chinos patrocinados por el estado. Estos grupos se dirigieron principalmente a la infraestructura de borde y las soluciones empresariales, una táctica que ha continuado desde 2024. Leer ahora: las empresas tecnológicas chinas vinculadas a las campañas de espionaje de typhoon de sal, el sospechado de China, Group UNC5221, explotó el mayor número de vulnerabilidades en H1 2025. Demostró una preferencia de los productos IVanti, incluidos los productos Manager Manager, Conecte Mobile, Connect Secure y Policy Secure. Los grupos motivados financieramente representaron el 47% restante de las hazañas de vulnerabilidad: el 27% estaban compuestos por aquellos actores involucrados en robo y fraude, pero no vinculados al ransomware y el 20% atribuidos a los grupos de ransomware y extorsión. Los investigadores predijeron que la explotación de electrodomésticos de seguridad de borde, herramientas de acceso remoto y otro software de la capa de puerta de enlace seguirá siendo una prioridad para los grupos patrocinados por el estado y con motivación financiera. «El valor estratégico de estos sistemas, que actúa como intermediarios para el tráfico encriptado y el acceso privilegiado, los convierte en objetivos de alta recompensa», señalaron. Microsoft fue el proveedor más dirigido, con los productos del gigante tecnológico que representan el 17% de las explotaciones. La mayoría de las exploits de vulnerabilidad no requerían autenticación El informe de tendencias de malware y vulnerabilidad H1 2025 de Insikt Group, publicado el 28 de agosto, encontró que el número total de vulnerabilidades y exposiciones comunes reveladas (CVE) creció un 16% año tras año. Los atacantes explotaron 161 vulnerabilidades distintas en el período de seis meses, frente a 136 en H1 2024. De los 161 fallas, el 69% no requirió autenticación para explotar, mientras que el 48% podría explotarse de forma remota a través de una red. «Esta fuerte inclinación hacia las hazañas remotas no autenticadas significa que los ataques se pueden lanzar directamente desde Internet contra hosts vulnerables, sin necesidad de credenciales ni acceso interno», comentaron los investigadores. Además, el 30% de las CVE explotadas habilitó la ejecución del código remoto (RCE), que a menudo otorga a un atacante control total sobre el sistema objetivo. ClickFix se convierte en una técnica de acceso inicial favorita El informe observó que los actores de ransomware adoptaron nuevas técnicas de acceso inicial en H1 2025. Esto incluyó un aumento significativo en los ataques de ingeniería social de ClickFix. ClickFix implica el uso de un error falso o un mensaje de verificación para manipular a las víctimas para que copie y pegue un guión malicioso y luego lo ejecute. La táctica se prepara en el deseo de los usuarios de solucionar problemas en lugar de alertar a su equipo de TI o cualquier otra persona. Por lo tanto, es efectivo para evitar las protecciones de seguridad ya que la víctima se infecta a sí misma. La pandilla de enclavamiento se observó utilizando ClickFix en campañas en enero y febrero de 2025. El grupo también ha aprovechado FileFix en ataques posteriores. Esta táctica es una evolución en ClickFix, donde los usuarios son engañados para pegar una ruta de archivo malicioso en la barra de direcciones de un explorador de archivos de Windows en lugar de usar un cuadro de diálogo. INSKIT Group evalúa que el éxito de ClickFix significa que este método seguirá siendo una técnica de acceso inicial favorecida a través del resto de 2025 a menos que las mitigaciones generalizadas reducen su efectividad. Los grupos de ransomware posteriores a la compromiso han aumentado su uso de la evasión de detección y respuesta de punto final (EDR) a través de técnicas de Installer (BYOI) de Tray-Your-Your-Your (BYOI), y cargas útiles personalizadas utilizando inyección de memoria y inyección de memoria para detectar la detección de órdenes.